◆何歷懷

（銅仁職業(yè)技術(shù)學(xué)院 貴州 554300）

基于PKI技術(shù)的應(yīng)用及密鑰的管理探討

◆何歷懷

（銅仁職業(yè)技術(shù)學(xué)院 貴州 554300）

隨著互聯(lián)網(wǎng)發(fā)展，越來(lái)越多的人開(kāi)始使用網(wǎng)絡(luò)進(jìn)行在線交易，工作中很多人通過(guò)電子郵件等方式實(shí)現(xiàn)文件和信息的共享，還有一些人采用網(wǎng)絡(luò)更新銀行信息等?；ヂ?lián)網(wǎng)給人們帶來(lái)方便的同時(shí)其安全性也受到更多人的關(guān)注。PKI技術(shù)是一種專門(mén)用來(lái)解決互聯(lián)網(wǎng)應(yīng)用安全問(wèn)題的技術(shù)。近年來(lái)，PKI技術(shù)在各個(gè)領(lǐng)域中得到廣泛的應(yīng)用，主要用于電商領(lǐng)域、金融證券等多種領(lǐng)域，可以進(jìn)行實(shí)體身份的認(rèn)證，幫助人們保存數(shù)據(jù)的完整，從而實(shí)現(xiàn)信息安全保密的目的。PKI技術(shù)為電子商務(wù)等領(lǐng)域提供安全保障的同時(shí)也為犯罪分子活動(dòng)提供了方便，為解決這方面的問(wèn)題，就需要實(shí)現(xiàn)密鑰安全管理，采用適當(dāng)?shù)拿荑€安全存儲(chǔ)技術(shù)以保證電子信息的有效性和安全性。本文就PKI技術(shù)的應(yīng)用及其密鑰管理進(jìn)行分析。

PKI技術(shù)；應(yīng)用；密鑰；管理

0 引言

PKI技術(shù)是公鑰基礎(chǔ)設(shè)施的簡(jiǎn)稱，這種技術(shù)的主要原理是遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)，能夠?yàn)榛ヂ?lián)網(wǎng)的應(yīng)用提供加密服務(wù)以及數(shù)字簽名服務(wù)。簡(jiǎn)單來(lái)說(shuō)，PKI技術(shù)就是一種基礎(chǔ)設(shè)施，主要是利用公鑰理論和技術(shù)來(lái)提供一切安全服務(wù)。這種技術(shù)是目前網(wǎng)絡(luò)安全建設(shè)的核心和關(guān)鍵，也是為電子商務(wù)發(fā)展提供保障的基礎(chǔ)。PKI技術(shù)的應(yīng)用一定程度上能夠滿足人們對(duì)網(wǎng)絡(luò)交易安全保障的需求。PKI技術(shù)逐漸行成了一種復(fù)雜的系統(tǒng)，會(huì)涉及到其他的密鑰，對(duì)于這些密鑰的安全性要求也不同，因此，需要可靠的密鑰管理方案來(lái)保證網(wǎng)絡(luò)系統(tǒng)的安全。

1 PKI技術(shù)的應(yīng)用分析

1.1 PKI技術(shù)在電子郵件加密中的應(yīng)用

電子郵件以其低成本、便捷的特征成為現(xiàn)代人們信息交流的主要方式，很多商業(yè)機(jī)構(gòu)以及政府機(jī)構(gòu)通常使用電子郵件的方式進(jìn)行秘密信息的傳送和有一些有價(jià)值信息的傳輸，但是郵件信息在傳輸過(guò)程中被攔截，非法使用的情況經(jīng)常出現(xiàn)，一些信息或者是附件在通信雙方不知情的情況下會(huì)被第三方所讀取，一些有心人士通過(guò)篡改信息達(dá)到謀利的目的。此外，發(fā)送的電子郵件難以確定其發(fā)送方的真實(shí)性和可靠性，由于電子郵件本身安全和信任方面存在一定的缺陷，導(dǎo)致一些公司和機(jī)構(gòu)不再使用電子郵件進(jìn)行信息交換和傳輸，對(duì)人們的正常交流造成嚴(yán)重的影響，對(duì)通信的安全性也行成了嚴(yán)重的威脅。為了增強(qiáng)電子郵件通信的安全性，可以利用PKI對(duì)電子郵件進(jìn)行加密處理。通過(guò)PKI技術(shù)的公鑰和私鑰能夠完成電子郵件的安全認(rèn)證以及完整性檢查。公鑰加密系統(tǒng)和私鑰加密系統(tǒng)是基于PKI原理上設(shè)置的一種網(wǎng)絡(luò)加密系統(tǒng)。其中公鑰加密體系簡(jiǎn)稱為PGP系統(tǒng)，這種系統(tǒng)已經(jīng)在電子郵件通信加密中得到了廣泛的應(yīng)用，但是其使用范圍受到一定的限制，需要通信雙方交流之后才能夠?qū)崿F(xiàn)加密。私鑰加密系統(tǒng)是專門(mén)針對(duì)電子郵件通信設(shè)置的一種正式的因特網(wǎng)標(biāo)準(zhǔn)系統(tǒng)，與前者不同的是，這種系統(tǒng)有證書(shū)的有效性認(rèn)證。

1.2 PKI技術(shù)在電子商務(wù)安全管理中的應(yīng)用

電子商業(yè)管理的核心問(wèn)題也是安全問(wèn)題，雖然電子商業(yè)的發(fā)展有著潛在的發(fā)展市場(chǎng)，但是由于這種模式涉及到很多商業(yè)行為，其安全保障成為人們關(guān)注的重點(diǎn)問(wèn)題。PKI技術(shù)能夠有效地解決電子商務(wù)的安全問(wèn)題，利用PKI應(yīng)用能夠建立一種安全的網(wǎng)絡(luò)，并且具有可信任的認(rèn)證中心。例如，可以通過(guò)政府部門(mén)或者是銀行等機(jī)構(gòu)進(jìn)行認(rèn)證，進(jìn)而利用加密技術(shù)消除開(kāi)放網(wǎng)絡(luò)帶來(lái)的更多風(fēng)險(xiǎn)，確保商業(yè)交易的安全可靠性。

1.3 PKI技術(shù)在網(wǎng)頁(yè)安全管理中的應(yīng)用

人們?cè)L問(wèn)互聯(lián)網(wǎng)最為常用的方式就是瀏覽Web網(wǎng)頁(yè)，如果不涉及其他私密問(wèn)題的情況下瀏覽網(wǎng)頁(yè)一般不會(huì)產(chǎn)生什么影響，但是如果有人填寫(xiě)表單或者是個(gè)私人信息時(shí)，一些敏感信息會(huì)被居心叵測(cè)的人所利用，一些人使用網(wǎng)頁(yè)進(jìn)行商品交易，網(wǎng)頁(yè)的安全問(wèn)題很難得到有效的保障。常見(jiàn)的網(wǎng)頁(yè)安全問(wèn)題有網(wǎng)絡(luò)詐騙、信息泄露、黑客攻擊、網(wǎng)頁(yè)被篡改等，為了解決這一問(wèn)題，需要從瀏覽器的改造入手。SSL協(xié)議是一種傳輸層和應(yīng)用層之間的安全通信層，在不同的實(shí)體進(jìn)行通信之前，需要建立SSL連接系統(tǒng)，以此來(lái)確保應(yīng)用層實(shí)體之間通信的安全性?？梢岳肞KI技術(shù)在瀏覽器和服務(wù)器之間進(jìn)行加密，也可以使用數(shù)字信息的方式保證通信的安全性，由第三方頒發(fā)服務(wù)器和瀏覽器的數(shù)字證書(shū)。在交易過(guò)程中，雙方就能夠通過(guò)數(shù)字信息的方式確認(rèn)對(duì)方的身份，避免別人冒名頂替竊取信息。

2 PKI系統(tǒng)下的密鑰管理

密鑰管理主要是由管理中心提供用戶加密密鑰對(duì)的一種管理功能，管理中心主要負(fù)責(zé)用戶密鑰的生成、儲(chǔ)存、備份、更新以及歸檔恢復(fù)等內(nèi)容。密鑰管理系統(tǒng)由多個(gè)部分組成，邏輯上的密鑰管理系統(tǒng)主要由密鑰生成、密鑰綜合管理、密鑰備份和恢復(fù)、密碼服務(wù)等部分內(nèi)容組成。各個(gè)邏輯系統(tǒng)的主要功能如下所示：

2.1 密鑰生成

該過(guò)程是密鑰對(duì)的產(chǎn)生過(guò)程，會(huì)生成一種非對(duì)稱的密鑰對(duì)，然后將這種密鑰對(duì)通過(guò)數(shù)據(jù)庫(kù)進(jìn)行保存，如果備用數(shù)據(jù)庫(kù)中密鑰數(shù)量不夠充足時(shí)，數(shù)據(jù)庫(kù)就會(huì)自動(dòng)進(jìn)行補(bǔ)充。生成的對(duì)稱密鑰主要用于數(shù)字信封，而生成的隨機(jī)數(shù)用于安全驗(yàn)證。密鑰對(duì)的產(chǎn)生是證書(shū)申請(qǐng)過(guò)程中的重要內(nèi)容，證書(shū)類型不同的情況下，密鑰對(duì)的形式和方法也不同，普通證書(shū)的密鑰對(duì)一般由瀏覽器或者是移動(dòng)終端產(chǎn)生，但是這樣的密鑰強(qiáng)度較小，在重要的網(wǎng)絡(luò)安全保護(hù)中不適合應(yīng)用。一些重要的證書(shū)安全管理一般由專業(yè)應(yīng)用程序產(chǎn)生，在專業(yè)應(yīng)用程序下產(chǎn)生的密鑰強(qiáng)度較大，主要適用于重要的場(chǎng)合。

2.2 密鑰綜合管理

密鑰綜合管理是密鑰管理下的一個(gè)分支，包括多個(gè)部分的管理，有數(shù)據(jù)庫(kù)管理、認(rèn)證管理、安全審計(jì)管理等內(nèi)容。其中數(shù)據(jù)庫(kù)管理的模塊主要負(fù)責(zé)密鑰的存儲(chǔ)管理，由于存儲(chǔ)的狀態(tài)不同，密鑰數(shù)據(jù)庫(kù)分為三種類型，分別是備用密鑰數(shù)據(jù)庫(kù)、歷史密鑰數(shù)據(jù)庫(kù)以及在用密鑰數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)中的密鑰通常是采用加密的形式存放。密鑰認(rèn)證管理模塊主要是對(duì)密鑰管理系統(tǒng)中的有關(guān)人員身份進(jìn)行認(rèn)證。安全審計(jì)模塊是負(fù)責(zé)審計(jì)和統(tǒng)計(jì)服務(wù)的模塊，主要是對(duì)各個(gè)功能的運(yùn)行事件進(jìn)行檢查和分析，包括對(duì)運(yùn)行事件的記錄、服務(wù)器狀態(tài)的記錄以及系統(tǒng)設(shè)置等內(nèi)容。

2.3 密鑰備份及恢復(fù)

用戶如果丟失了密鑰，就會(huì)導(dǎo)致加密的文件難以解密，讓更多的數(shù)據(jù)出現(xiàn)丟失。PKI技術(shù)所提供的密鑰備份和密鑰恢復(fù)機(jī)制能夠避免這種事件的發(fā)生。密鑰的保護(hù)一般是使用口令進(jìn)行保護(hù)，管理人員的疏忽很有可能造成口令的丟失，PKI技術(shù)能夠?qū)γ荑€進(jìn)行備份，即使在口令丟失的情況下也能夠恢復(fù)密鑰并且設(shè)置新的口令。

2.4 密碼服務(wù)

密碼服務(wù)模塊主要是對(duì)KMC中的不同業(yè)務(wù)提供一定的密碼支撐。

3 結(jié)束語(yǔ)

在當(dāng)今互聯(lián)網(wǎng)快速發(fā)展的時(shí)代，PKI有著較大的市場(chǎng)需求，尤其是在網(wǎng)絡(luò)安全保障中的應(yīng)用可以保障各種信息的機(jī)密性、真實(shí)性和完整性。無(wú)論是政府、企業(yè)還是電子商務(wù)網(wǎng)站等都需要PKI技術(shù)進(jìn)行解決?；ヂ?lián)網(wǎng)的發(fā)展在我國(guó)各個(gè)領(lǐng)域中的應(yīng)用已經(jīng)普及，鑒于此，需要不斷發(fā)展和應(yīng)用PKI技術(shù)，以此來(lái)保障互聯(lián)網(wǎng)應(yīng)用的安全性。

[1]李志國(guó)，李波.PKI技術(shù)與應(yīng)用[J].無(wú)線互聯(lián)科技，2012.

[2]陳君波.淺談PKI技術(shù)與應(yīng)用[J].科技信息，2012.

[3]錢(qián)靚靚.淺析電子信息安全技術(shù)PKI[J].電子世界，2014.

[4]張偉麗.淺析PKI技術(shù)在數(shù)字家庭網(wǎng)絡(luò)中的應(yīng)用[J].電視技術(shù)，2014.

[5]胡艷.PKI技術(shù)在電子政務(wù)OA系統(tǒng)中的安全設(shè)計(jì)與應(yīng)用[J].軟件工程師，2015.

[6]潘雨相.基于PKI技術(shù)的電子商務(wù)安全支付系統(tǒng)設(shè)計(jì)[J].現(xiàn)代電子技術(shù)，2014.